Seit Januar 2026 hat die Gruppe nach Angaben von ESET ihr Vorgehen verändert. „Die Gruppe scheint den Einsatz makrobasierter Köderdokumente aufgegeben zu haben und setzt nur noch auf unscharfe PDF-Dateien mit einem schädlichen Link zur nächsten Stufe", sagt Damien Schaeffer, leitender Malware-Forscher bei ESET, gegenüber Dark Reading. Der PDF-Köder gibt sich als Schreiben des ukrainischen Telekommunikationsanbieters Ukrtelecom aus und verspricht einen sicheren Schutz von Kundendaten. Eingebettet ist ein Download-Link, der auf eine von den Angreifern kontrollierte Infrastruktur führt.

Charakteristisch für die Kampagne ist die enge Eingrenzung der Ziele. Die Angreifer erstellen einen Fingerabdruck des Opfer-Rechners, um die Zielauswahl zu präzisieren. Anschließend entscheiden die Betreiber laut Schaeffer offenbar manuell, ob ein Ziel den Implantat-Code erhält oder nicht.

Die serverseitige Prüfung funktioniert dabei nach Herkunft: Stammt das Opfer nicht aus der erwarteten Region, liefert der Server eine harmlose PDF-Datei aus. Nutzt das Opfer hingegen eine IP-Adresse aus der Ukraine, sendet der Server stattdessen ein RAR-Archiv mit der ersten Angriffsstufe – eine JavaScript-Datei, die das genannte PDF als Köder anzeigt und gleichzeitig die zweite Stufe ausführt: eine JavaScript-Version des Downloaders PicassoLoader.

Beim Ausführen sammelt PicassoLoader Informationen über den Rechner: Benutzer- und Computername, Betriebssystemversion, Startzeit des Rechners, aktuelle Uhrzeit sowie eine Liste der laufenden Prozesse mit ihren Prozess-IDs. Auf Grundlage dieser Daten entscheiden die Betreiber laut ESET sehr wahrscheinlich erneut von Hand, ob das Opfer von Interesse ist. Ist das der Fall, antwortet der Command-and-Control-Server mit einem JavaScript-Dropper der dritten Stufe für Cobalt Strike, die finale Schadkomponente; andernfalls bleibt die Antwort leer.

FrostyNeighbor, das seit mindestens 2016 aktiv sein soll, ist für die Verbindung von Cyber-Spionage mit Spear-Phishing, dem Diebstahl von Zugangsdaten, dem Ausspielen von Malware und Desinformation bekannt. Die zugehörige Ghostwriter-Kampagne begann 2021 und wurde zunächst Russland zugeschrieben; sie zielte mit Phishing und Falschinformationen auf mehrere europäische Länder, darunter Deutschland, Polen, die Ukraine sowie die baltischen Staaten Estland, Lettland und Litauen. Später stellten Forscher fest, dass die Phishing-Infrastruktur der Gruppe deutlich umfangreicher war als zunächst angenommen – ein Umstand, der auch in der aktuellen Kampagne eine zentrale Rolle spielt.

Die Gruppe bleibe „in operativer Hinsicht recht aktiv" und entwickle ihre Taktiken, Techniken und Vorgehensweisen stetig weiter, um Erkennung zu umgehen und Ziele zu kompromittieren, so Schaeffer. ESET rät potenziell betroffenen Organisationen – insbesondere in Polen, Litauen und der Ukraine – zu Schutzmaßnahmen: das sorgfältige Prüfen von E-Mail-Anhängen externer oder unbekannter Absender, das Beschränken von Benutzerrechten auf das Nötigste, das Unterbinden der Ausführung heruntergeladener Dateien sowie das Überwachen verdächtiger Netzwerkkommunikation. Eine umfassende Liste von Kompromittierungsindikatoren (IoCs) hat ESET dem Bericht beigefügt.